硬盘的分区误删除的恢复

                    硬盘的分区误删除的恢复

这是老师给我们的一块虚拟硬盘，上面老师做了一些手脚让我们恢复，所以我们也不知道这块硬盘上本来有什么东西，我们打开磁盘管理器看到又一块未指派的磁盘，这并不是没有指派而是被我们把分区给删除了，接下来我们恢复分区并回复数据。

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_12416841476XNo.jpg"></a>

先用winhex这个工具打开这块硬盘，因为每个分区都会保留63个扇区，所以第一个分区的起始应该从63开始，

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684149Ebet.jpg"></a>

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684153c0fl.jpg"></a>

在偏移CH28后的几个字节是NTFS分区的扇区大小减一，如果是fat分区则在CH20处从这里我们就知道了第一个分区的大小及类型

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684158EeEq.jpg"></a>

这个分区的大小是5124672个扇区，起始+大小—1=分区的结束位置，这样我们也就知道了这个分区的结束位置，那这个分区的结束扇区的下一个扇区就是下一个分区开始。我们来转到第一个分区的最后

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684161egKZ.jpg"></a>

这个分区结束在318柱面254磁头63扇区。

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684165LAxd.jpg"></a>

那319柱面0磁头1扇区就是第二个分区的开始，这个里面在CH2这有数值，在CH28也有数值，那到底哪个是表示分区大小呢？我们来算一下后面的几位算出来的值比我们的硬盘还大，所以不是，那就是CH20这的表示硬盘的，这也表示这个分区时fat分区，算出大小事2457945个扇区

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684170mEvb.jpg"></a>

我们来算出他的结束位置起始+大小-1

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684174nhmq.jpg"></a>

转到最后位置

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684176OryT.jpg"></a>

这个分区的结束位置是471柱面254磁头63扇区，那么472柱面0磁头1扇区就是第三个分区的开始看一下。

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684179s83P.jpg"></a>

是第三个分区的开始，而切这个分区时NTFS类型，我们可以算出这个分区的大小，也就是把16进制转换成10进制再加1

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684184zIvY.jpg"></a>

算出大小后再算出结束的位置，然后转到结束位置。

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684188IqMZ.jpg"></a>

结束位置是777柱面254磁头63扇区

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684191EYSw.jpg"></a>

我们口分析完了，开始向分区表的MBR里面写入记录。

第一个分区

00 01 01 00 07 FE 7F 3F 3F 00 00 00 40 32 4E 00

第二个分区

00 00 41 3F 06 FE 7F D7 7F 32 4E 00 59 81 25 00

第三个分区

00 00 41 D8 07 FE FF 09 D8 B3 73 00 B2 02 4B 00

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684196D4Y8.jpg"></a>

写好以后保存修改的内容，然后重新启动一下计算机就会看到，多了三个分区

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684200Vi1G.jpg"></a>

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684202loxH.jpg"></a>

那这三个分区是否被删除过文件呢？我们用一个易我数据恢复工具扫描一下，我们选择格式化恢复

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_12416842050PBi.jpg"></a>

选择我们要扫描的分区，

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684207id0S.jpg"></a>

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684209DFRn.jpg"></a>

输出到c盘的根目录下

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_12416842120IGB.jpg"></a>

完成

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684213jjDY.jpg"></a>

看到他找到的文件，DOS7本来就有，又多了一个文件夹

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_124168421515DR.jpg"></a>

扫描别的盘过程类似，在扫描F盘的时候扫描出了好多文件

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684217MuYY.jpg"></a>

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684219GfZ1.jpg"></a>

打开找到的文件，是不是找到很多。

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684222oD1z.jpg"></a>

F盘则跟E盘内容一样。

<a href="http://liuyonglei.blog.51cto.com/attachment/200905/7/501877_1241684224W9if.jpg"></a>

是不是很神奇啊！！！！O(∩_∩)O~

本文转自 liuyonglei 51CTO博客，原文链接：http://blog.51cto.com/liuyonglei/155956，如需转载请自行联系原作者